Saiba mais sobre grupos e direitos de acesso no Microsoft Entra ID

O Microsoft Entra ID fornece várias maneiras de gerenciar o acesso a recursos, aplicativos e tarefas. Com os grupos do Microsoft Entra, você pode conceder acesso e permissões a um grupo de usuários em vez de para cada usuário individual. Limitar o acesso aos recursos do Microsoft Entra apenas aos usuários que precisam de acesso é um dos princípios básicos de segurança do Zero Trust.

Este artigo fornece uma visão geral de como grupos e direitos de acesso podem ser usados juntos para facilitar o gerenciamento de usuários do Microsoft Entra e, ao mesmo tempo, aplicar as práticas recomendadas de segurança.

O Microsoft Entra ID permite que você use grupos para gerenciar o acesso a aplicativos, dados e recursos. Os recursos podem ser:

  • Parte da organização do Microsoft Entra, como permissões para gerenciar objetos por meio de funções no Microsoft Entra ID
  • Externos à organização, como para aplicativos SaaS (Software as a Service)
  • Serviços do Azure
  • Sites SharePoint
  • Recursos no local

Alguns grupos não podem ser gerenciados no portal do Azure:

  • Os grupos sincronizados a partir do Ative Directory local só podem ser geridos no Ative Directory local.
  • As listas de distribuição e os grupos de segurança habilitados para email são gerenciados somente no centro de administração do Exchange ou no centro de administração do Microsoft 365. Tem de iniciar sessão no Centro de administração do Exchange ou no Centro de administração do Microsoft 365 para gerir estes grupos.

O que saber antes de criar um grupo

Existem dois tipos de grupo e três tipos de associação de grupo. Analise as opções para encontrar a combinação certa para o seu cenário.

Tipos de grupo:

Segurança: Usado para gerenciar o acesso de usuários e computadores a recursos compartilhados.

Por exemplo, você pode criar um grupo de segurança para que todos os membros do grupo tenham o mesmo conjunto de permissões de segurança. Os membros de um grupo de segurança podem incluir usuários, dispositivos, entidades de serviço e outros grupos (também conhecidos como grupos aninhados), que definem a política de acesso e as permissões. Os proprietários de um grupo de segurança podem incluir usuários e entidades de serviço.

Nota

Ao aninhar um grupo de segurança existente em outro grupo de segurança, somente os membros do grupo pai terão acesso a recursos e aplicativos compartilhados. Os membros aninhados do grupo não têm a mesma associação atribuída que os membros do grupo pai. Para saber mais sobre como gerenciar grupos aninhados, veja Como gerenciar grupos.

Microsoft 365: Fornece oportunidades de colaboração dando aos membros do grupo acesso a uma caixa de correio compartilhada, calendário, arquivos, sites do SharePoint e muito mais.

Esta opção também lhe permite conceder às pessoas fora da organização acesso ao grupo. Os membros de um grupo do Microsoft 365 só podem incluir usuários. Os proprietários de um grupo do Microsoft 365 podem incluir usuários e entidades de serviço. Para obter mais informações sobre o Microsoft 365 Groups, consulte Saiba mais sobre o Microsoft 365 Groups.

Tipos de membros:

  • Grupos atribuídos: permite adicionar usuários específicos como membros de um grupo e ter permissões exclusivas.

  • Grupo de associação dinâmica para usuários: permite que você use regras para que os usuários adicionem e removam automaticamente usuários como membros. Se os atributos de um membro forem alterados, o sistema examinará suas regras para grupos dinâmicos de associação para o diretório. O sistema verifica se o membro atende aos requisitos da regra (é adicionado) ou não atende mais aos requisitos das regras (é removido).

  • Grupo de associação dinâmica para dispositivos: permite que você use regras para dispositivos para adicionar e remover automaticamente dispositivos como membros. Se os atributos de um dispositivo forem alterados, o sistema examinará suas regras para grupos de associação dinâmica para o diretório para ver se o dispositivo atende aos requisitos de regra (é adicionado) ou não atende mais aos requisitos de regras (é removido).

    Importante

    Pode criar um grupo dinâmico para dispositivos ou utilizadores, mas não para ambos. Não é possível criar um grupo de dispositivos com base nos atributos dos proprietários dos dispositivos. As regras de associação de dispositivos só podem referenciar atribuições de dispositivos. Para saber mais sobre como criar um grupo dinâmico para usuários e dispositivos, veja Criar um grupo dinâmico e verificar o status.

O que saber antes de adicionar direitos de acesso a um grupo

Depois de criar um grupo do Microsoft Entra, você precisa conceder-lhe o acesso apropriado. Cada aplicativo, recurso e serviço que requer permissões de acesso precisa ser gerenciado separadamente porque as permissões para um podem não ser as mesmas que para outro. Conceda acesso usando o princípio de menor privilégio para ajudar a reduzir o risco de ataque ou violação de segurança.

Como funciona o gerenciamento de acesso no Microsoft Entra ID

O Microsoft Entra ID ajuda você a dar acesso aos recursos da sua organização, fornecendo direitos de acesso a um único usuário ou a um grupo inteiro do Microsoft Entra. O uso de grupos permite que o proprietário do recurso ou o proprietário do diretório do Microsoft Entra atribua um conjunto de permissões de acesso a todos os membros do grupo. O proprietário do recurso ou diretório também pode conceder direitos de gerenciamento a alguém, como um gerente de departamento ou um administrador de suporte técnico, permitindo que essa pessoa adicione e remova membros. Para obter mais informações sobre como gerenciar proprietários de grupos, consulte o artigo Gerenciar grupos .

Captura de tela de um diagrama do gerenciamento de acesso do Microsoft Entra ID.

Formas de atribuir direitos de acesso

Depois de criar um grupo, você precisa decidir como atribuir direitos de acesso. Explore as formas de atribuir direitos de acesso para determinar o melhor processo para o seu cenário.

  • Atribuição direta. O proprietário do recurso atribui diretamente o usuário ao recurso.

  • Atribuição de grupo. O proprietário do recurso atribui um grupo do Microsoft Entra ao recurso, que dá automaticamente a todos os membros do grupo acesso ao recurso. Tanto o proprietário do grupo quanto o proprietário do recurso gerenciam a associação ao grupo, permitindo que o proprietário adicione ou remova membros do grupo. Para obter mais informações sobre como gerenciar a associação a grupos, consulte o artigo Grupos gerenciados.

  • Atribuição baseada em regras. O proprietário do recurso cria um grupo e usa uma regra para definir quais usuários são atribuídos a um recurso específico. A regra é baseada em atributos atribuídos a usuários individuais. O proprietário do recurso gerencia a regra, determinando quais atributos e valores são necessários para permitir o acesso ao recurso. Para obter mais informações, consulte Criar um grupo dinâmico e verificar o status.

  • Atribuição de autoridade externa. O acesso vem de uma fonte externa, como um diretório local ou um aplicativo SaaS. Nessa situação, o proprietário do recurso atribui um grupo para fornecer acesso ao recurso e, em seguida, a fonte externa gerencia os membros do grupo.

    Captura de tela de um diagrama de visão geral do gerenciamento de acesso.

Os usuários podem participar de grupos sem serem atribuídos?

O proprietário do grupo pode permitir que os usuários encontrem seus próprios grupos para participar, em vez de atribuí-los. O proprietário também pode configurar o grupo para aceitar automaticamente todos os usuários que ingressarem ou para exigir aprovação.

Depois que um usuário solicita para ingressar em um grupo, a solicitação é encaminhada para o proprietário do grupo. Se necessário, o proprietário pode aprovar a solicitação e o usuário é notificado sobre a associação ao grupo. Se você tiver vários proprietários e um deles desaprovar, o usuário será notificado, mas não será adicionado ao grupo. Para obter mais informações e instruções sobre como permitir que seus usuários solicitem ingresso em grupos, consulte Configurar a ID do Microsoft Entra para que os usuários possam solicitar a participação em grupos.

Próximos passos